Minotauro Magazine Issue 05 04 Virus Programming Tips

Published in

· 6 Feb 2021

  

Minotauro Magazine Issue #5                                                 
                                                                            
                            Virus Programming Tips                          
                           Jumping to host by Drako                         
                                                                            
        Bienvenida. listo. Esta nota mas que nada intenta ser de utilidad   
por su contenido te¢rico que por su contenido pr ctico (lease c¢digo...)    
No se cuanto puedo llegar a tardar en explicar esto, pero no importa:       
                                                                            
        Imag¡nense Uds. en el punto final de un virus polim¢rfico, Full     
Stealth impresionante :-) y su virus es "detectado" por alg£n programa que  
nisiquiera tiene la intenci¢n de hacerlo. Uds. se querran matar.. A lo que  
voy es a lo siguiente: Uds. anteriormente (o quizas ya lo habian notado y   
NO NOTIFICADO :-)) le pasaban el control al host, en un COM digamos, de la  
siguiente manera:                                                           
                                                                            
        CALL RESTITUIR_PRIMEROS_BYTES                                       
        MOV AX, 0100h                                                       
        JMP AX                                                              
                                                                            
        Esto de CALL RESTITUIR.... ya se imaginaran que es.. (es pa'        
restaurar los primeros bytes en memoria del host, ok!?).. Bueno, el         
problema con este codigo es que, para el momento que se le da el control    
al host o anfitri¢n, AX llega con el valor de 100h y no es justamente el    
valor predefinido para el momento inicial de la ejecucion de un file.       
Cuando Uds. debugean algo, todos los registros generales comienzan en 0000, 
pero en realidad cuando ejecutan algo desde DOS, no es asi.. Cada registro  
contiene un dato (los cuales no tengo diponibles en este momento) que es    
pasado al programa.. Por ejemplo en AX, se pasa el tama¤o del string de la  
linea de comandos.. Lo mismo que en el offset 80h del PSP.                  
Datos como estos se los facilitaremos en el proximo numero para que saquen  
sus propias conclusiones y/o tecnicas :-)                                   
Pero a ciencia cierta, les decimos que antes de darle el control al host,   
limpien AX, y salten al 100h por otro lado (hasta ahora nunca tuve dramas): 
                                                                            
        CALL RESTITUIR_PRIMEROS_BYTES                                       
        XOR AX, AX                                                          
        PUSH 0100h                                                          
        RET                                                                 
                                                                            
        Quiero aclarar que no queremos un pulitzer por esta nota, que solo  
la pusimos al efecto de salvarles colgadas inexplicables en algunos         
archivos infectados, como por ejemplo el DISKCOPY.COM, XCOPY.EXE,           
DISKCOMP.COM todos del DOS. Hagan una prueba, intenten infectarlos con sus  
virus actuales y vean lo que pasa :-)                                       
No estamos diciendo que no se hayan dado cuenta, pero..... Jajajaja         
                                                                            
                                             Drako [DAN]